BIOS恶意代码实现及其检测系统设计1
需积分: 0 55 浏览量
2022-08-04
12:29:31
上传
评论
收藏 58KB PDF 举报
—17—
BIOS
恶意代码实现及其检测系统设计
王晓箴
1,2
,刘宝旭
1
,潘 林
1,2
(1. 中国科学院高能物理研究所计算中心,北京 100049;2. 中国科学院研究生院,北京 100049)
摘 要:根据基本输入输出系统(BIOS)恶意代码的植入方式,将其分为工业标准体系结构、高级配置和电源管理接口、外部设备互连模块
恶意代码 3 类,分别对其实现过程进行研究。在此基础上,设计一种 BIOS 恶意代码检测系统,包括采样、模块分解、解压缩、恶意代码
分析模块。应用结果表明,该系统能检测出 BIOS 镜像文件中植入的恶意代码,可有效增强 BIOS 的安全性。
关键词:基本输入输出系统;恶意代码;安全检测
BIOS Malicious Code Implementation
and Its Detection System Design
WANG Xiao-zhen
1,2
, LIU Bao-xu
1
, PAN Lin
1,2
(1. Computing Center, Institute of High Energy Physics, Chinese Academy of Sciences, Beijing 100049, China;
2. Graduate University of Chinese Academy of Sciences, Beijing 100049, China)
【Abstract】Based on the implantation method of Basic Input Output System(BIOS) malicious code, this paper divides the malicious code into
Industry Standard Architecture(ISA), Advanced Configuration and Power management Interface(ACPI) and Peripheral Component Interconnect
(PCI) module malicious code, and analyzes the implementation processes of three types of BIOS malicious code. It designs a BIOS malicious code
detection system which includes the modules of sampling, module disassembling, decompressing and malicious code analyzing. Application results
show that this system can detect the malicious code in BIOS image file, and it can effectively enhance the security of BIOS.
【Key words】Basic Input Output System(BIOS); malicious code; security detection
计 算 机 工 程
Computer Engineering
第 36 卷 第 21 期
Vol.36 No.21
2010 年 11 月
November 2010
·博士论文·
文章编号:1000—3428(2010)21—0017—02
文献标识码:A
中图分类号:TP393
1
概述
21
世纪以来,伴随着互联网技术的高速发展,计算机应
用已深入到社会生活的各个角落,使人们的生活工作更便捷,
但随之而来的安全问题却越来越严重。木马、蠕虫、
DDoS
攻击、网络陷阱等各种威胁潜伏于互联网上,侵害用户权益。
其中,基本输入输出系统
(Basic Input/Output System, BIOS)
恶意代码作为罕见但具毁灭性的一类近年来出现频繁,它是
一组固化到计算机内主板的
ROM
芯片上的程序,保存计算
机最重要的基本输入输出的程序、系统设置信息、开机上电
自检程序和系统启动自举程序。计算机开机执行的第
1
条指令
以及第
1
组程序均源自主板
BIOS
。因此,
BIOS
层的安全是
很重要的,一旦
BIOS
被攻击破坏,会对整个计算机的可用
性造成影响,如
1998
年的
CIH
病毒就是通过攻击计算机
BIOS
,删除其中信息使机器找不到系统盘从而导致机器崩
溃,在世界范围内造成严重危害。本文主要工作是提出
BIOS
恶意代码的实现方式,并设计一种
BIOS
恶意代码检测系统。
2 BIOS
恶意代码的实现方式
目前研究认为,
BIOS
安全隐患可分为
BIOS
功能障碍、
BIOS
设置漏洞、
BIOS
物理攻击、
BIOS
木马
4
类
[1]
。本文认
为“
BIOS
木马”的表述方法不尽准确,因此以“
BIOS
恶意
代码”来代表这类程序
[2]
。其实现方式是:攻击者利用
BIOS
代码只占用
Flash
芯片上部分空间这个特点,将恶意代码封
装成合法的
BIOS
扩展模块,通过
BIOS
读写工具或驱动自动
加载过程写入到
BIOS
芯片内。恶意代码在
BIOS
内成功加载
后,可与远程主机进行通信,进行窃取、删除数据等各种破
坏性的操作。
本文根据
BIOS
恶意代码的植入方式,将
BIOS
恶意代码
分为工业标准体系结构
(Industry Standard Architecture, ISA)
模块恶意代码、高级配置和电源管理接口
(Advanced Configu-
ration and Power management Interface, ACPI)
模块恶意代码、
外部设备互连
(Peripheral Component Interconnect, PCI)
模块
恶意代码
3
类,下文分别对其实现方式及特点进行阐述。
2.1 ISA
模块恶意代码
ISA
模块
BIOS
恶意代码是目前主流的实现方式,著名
黑客
Kaspersky K
曾写过一个用于嵌入
BIOS
的
ISA
模块程
序,
IceLord
的
BIOS Rootkit
实现也利用该技术。
IceLord
的
核心代码是
ISA
模块文件
leaving.bin
,
IceLord.exe
在驱动文
件的协助下,把
ISA
模块
leaving.bin
刷写进
BIOS
中,将恶
意代码植入。
ISA
模块恶意代码主要应用于早期
BIOS
为
Award
类型
的计算机,近年来生产的计算机
BIOS
已禁止加载
ISA
模块
的功能,因此该类恶意代码目前只能作为实验调试方法使用。
2.2 ACPI
模块恶意代码
ACPI
定义了允许操作系统控制电源管理和设备配置的
机制,是
BIOS
现行的工作标准。由于
ACPI
具有规范的驱动
基金项目:国家科技支撑计划基金资助重点项目(2009BAH52B06);
北京市自然科学基金资助面上项目(4072010)
作者简介:王晓箴(1985-),女,博士研究生,主研方向:网络安全;
刘宝旭,副研究员;潘 林,博士研究生
收稿日期:2010-04-20 E-mail:wangxz@ihep.ac.cn
林书尼
- 粉丝: 21
- 资源: 315
最新资源
- 3479521_1710042575-1.rwmod
- 安装及环境配置UMCM-2023C-ma笔记
- (完整)数据库课程设计餐厅点餐说明书-21ab6d3c8beb172ded630b1c59eef8c75ebf952c.doc
- 2023-04-06-项目笔记 - 第一百五十四阶段 - 4.4.2.152全局变量的作用域-152 -2024.06.04
- 松哥解协议松哥解协议松哥解协议松哥解协议松哥解协议
- 618节日618节日618节日
- tensorflow-gpu-2.9.1-cp37-cp37m-win-amd64.whl
- tensorflow-gpu-2.9.0-cp37-cp37m-win-amd64.whl
- tensorflow-gpu-2.9.0-cp39-cp39-win-amd64.whl
- lcd daimalcd daima
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
评论0